grizzlynet2 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Добрый день!     Схема такая!                                                                                               клиент<------>интернет<------>модем(Dlink2640U)<----->(eth0)DEBIAN(eth1)<----->Server(3389 port).                                                                                                                                                                           IP-адрес модема -  192.168.151.151   IP-адрес(debian) смотрит в интренет (eth0) - 192.168.151.150   IP-адрес(debian) смотрит в локлку (eth1) -192.168.150.154   ip-адрес(server) в локальной сети -192.168.150.1     Модему IP-адрес присваеваемый ISP - динамический. К серверу со стороны клиента подключаюсь по SSH,средством DynDns. На модеме настроил NAT на внутрение адреса 192.168.151.150 SSH и проблемный проброс порта 3389 на сервер 192.168.150.1 в локальноый сети. На модеме порт 3389 натится на  192.168.151.150 (eth0), чтобы дfлее средствами iptables перебросить в локальную сеть на сервер 192.168.150.1.     iptables-save # Generated by iptables-save v1.4.2 on Sat Aug  7 20:13:58 2010 *nat REROUTING ACCEPT [21277:1717092] OSTROUTING ACCEPT [12989:646251] UTPUT ACCEPT [24084:1357688] -A PREROUTING -i eth1 -p tcp -m tcp --dport 139 -j REDIRECT --to-ports 139 -A PREROUTING -i eth1 -p tcp -m tcp --dport 445 -j REDIRECT --to-ports 445 -A PREROUTING -i eth1 -p tcp -m tcp --dport 22 -j REDIRECT --to-ports 22 -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 -A PREROUTING -d 192.168.151.150/32 -p tcp -m multiport --dports 3389 -j DNAT --to-destination 192.168.150.1 -A POSTROUTING -s 192.168.150.1/32 -j SNAT --to-source 192.168.151.150 -A POSTROUTING -o eth0 -j MASQUERADE COMMIT # Completed on Sat Aug  7 20:13:58 2010 # Generated by iptables-save v1.4.2 on Sat Aug  7 20:13:58 2010 *filter :INPUT DROP [51:6680] :FORWARD DROP [3:144] UTPUT ACCEPT [16152:1975049] -A INPUT -i lo -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i eth1 -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -d 192.168.150.1/32 -i eth0 -p tcp -m multiport --dports 3389 -j ACCEPT -A FORWARD -p udp -j ACCEPT -A FORWARD -i eth0 -o eth1 -p tcp -m multiport --sports 25,110 -j ACCEPT -A FORWARD -i eth1 -o eth0 -p tcp -m multiport --dports 25,110 -j ACCEPT -A FORWARD -i eth0 -o eth1 -p tcp -m multiport --sports 2809,9100,9101,9102,9103,9104,9105,9106,443,9900,9110 -j ACCEPT -A FORWARD -i eth1 -o eth0 -p tcp -m multiport --dports 2809,9100,9101,9102,9103,9104,9105,9106,443,9900,9110 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT COMMIT # Completed on Sat Aug  7 20:13:58 2010   подскажите что не так в правилах? Всего записей: 17 | Зарегистр. 02-08-2010 | Отправлено: 12:56 07-08-2010

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору grizzlynet2 гражданин, у вас такая мать нагорожена! Что простыми словами это не описать... прочитайте пожалуйста как что делать вот тут. Вы кажется вообще не осознавали, что писали... Тут простой поправкой не обойдешь... У вас буквально пара нужных и правильных правил... Так что ПРОЧТИТЕ пожалуйста ссылку ПОЛНОСТЬЮ. Потом по конкретным непоняткам мы вам обязательно поможем...   p.s. что бы текст не превращался в смайлики снимайте галочку "разрешить смайлики". ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 13:43 07-08-2010 | Исправлено: Alukardd, 13:47 07-08-2010

grizzlynet2 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd. спсибо за ссылку я там был)))) если у меня криво написано почему всё тогда раработает кроме 3389? Всего записей: 17 | Зарегистр. 02-08-2010 | Отправлено: 13:55 07-08-2010

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору grizzlynet2 что у вас делают эти правила, например? Код: -A PREROUTING -i eth1 -p tcp -m tcp --dport 139 -j REDIRECT --to-ports 139 -A PREROUTING -i eth1 -p tcp -m tcp --dport 445 -j REDIRECT --to-ports 445 -A PREROUTING -i eth1 -p tcp -m tcp --dport 22 -j REDIRECT --to-ports 22   зачем стоит multiport??? -A FORWARD -d 192.168.150.1/32 -i eth0 -p tcp -m multiport --dports 3389 -j ACCEPT   -A PREROUTING -d 192.168.151.150/32 -p tcp -m multiport --dports 3389 -j DNAT --to-destination 192.168.150.1 Да и фовардить надо с -d 192.168.151.150 ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 13:59 07-08-2010 | Исправлено: Alukardd, 14:01 07-08-2010

grizzlynet2 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору согласен лишние (по видимому этокогда первый раз писал правила так и осталось) Код:   Цитата: -A PREROUTING -i eth1 -p tcp -m tcp --dport 139 -j REDIRECT --to-ports 139   -A PREROUTING -i eth1 -p tcp -m tcp --dport 445 -j REDIRECT --to-ports 445   -A PREROUTING -i eth1 -p tcp -m tcp --dport 22 -j REDIRECT --to-ports 22       вот исправил все равно не работает   Код: iptables -t filter -A FORWARD -i $INET_OUT -d 192.168.151.150 -p tcp --dport 3389 -j ACCEPT iptables -t nat -A PREROUTING -d 192.168.151.150 -p tcp --dport 3389 -j DNAT --to-destination 192.168.150.1     INET_OUT="eth0"   Всего записей: 17 | Зарегистр. 02-08-2010 | Отправлено: 14:24 07-08-2010

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору сделайте следующее... iptables -Z iptables -t nat -Z затем попытайтесь подключится по RDP, далее дайте вывод iptables -vnL iptables -t nat -vnL ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 14:30 07-08-2010

grizzlynet2 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору я понимаю так: когда модем  пернаправляет пакет на 192.168.151.150(eth0) по правилу   Код:  iptables -t nat -A PREROUTING -d 192.168.151.150 -p tcp --dport 3389 -j DNAT --to-destination 192.168.150.1     это правило укзавыет узел назначения в пакете 192.168.150.1 (т.е. сервер в лок.сети).   Всего записей: 17 | Зарегистр. 02-08-2010 | Отправлено: 14:37 07-08-2010

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору grizzlynet2 правильно понимаете.. сделайте то что я вас просил... и кстати правило луче писать с -i eth0 - так на всякий случай. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 14:40 07-08-2010

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору grizzlynet2 А не проще ли просто пробросить этот порт на Dlink2640U? Всего записей: 17280 | Зарегистр. 13-06-2007 | Отправлено: 14:42 07-08-2010

grizzlynet2 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Код: iptables -F iptables -Z iptables -F -t nat   iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT     iptables -t filter -A INPUT -i lo -j ACCEPT iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A INPUT -i $LAN -j ACCEPT iptables -t filter -A INPUT -p tcp -i $INET_OUT --dport 22 -j ACCEPT iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT     #RDP iptables -t filter -A FORWARD -i $INET_OUT -d 192.168.151.150 -p tcp --dport 3389 -j ACCEPT #UDP iptables -t filter -A FORWARD -p udp -j ACCEPT   #MAIL   iptables -t filter -A FORWARD -o $LAN -i $INET_OUT -p tcp -m multiport --sport 25,110 -j ACCEPT iptables -t filter -A FORWARD -o $INET_OUT -i $LAN -p tcp -m multiport --dport 25,110 -j ACCEPT #SONO iptables -t filter -A FORWARD -o $LAN -i $INET_OUT -p tcp -m multiport --sport 2809,9100,9101,9102,9103,9104,9105,9106,443,99$ iptables -t filter -A FORWARD -o $INET_OUT -i $LAN -p tcp -m multiport --dport 2809,9100,9101,9102,9103,9104,9105,9106,443,99$ iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT   #SQUID iptables -t nat -A PREROUTING -i $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128     iptables -t nat -A PREROUTING -d 192.168.151.150 -p tcp --dport 3389 -j DNAT --to-destination 192.168.150.1 iptables -t nat -A POSTROUTING -s 192.168.150.1 -j SNAT --to-source 192.168.151.150 iptables -t nat -A POSTROUTING -o $INET_OUT -j MASQUERADE     Предпоследнее правило думаю лишнее? Всего записей: 17 | Зарегистр. 02-08-2010 | Отправлено: 14:44 07-08-2010

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary программный и аппаратный шлюзы подряд это же прикольнее ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 14:45 07-08-2010

grizzlynet2 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary Цитата: А не проще ли просто пробросить этот порт на Dlink2640U?     так я и настроел на модеме NAT по порту 3389 на 192.168.151.150 (eth0)   Всего записей: 17 | Зарегистр. 02-08-2010 | Отправлено: 14:47 07-08-2010

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору grizzlynet2 простите блин, но вашу за ногу!!! я вас 3-й пост прошу выполнить то что сказал!!! Если не понимаете зачем, можете спросить, а не молча совать то что не просят! ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 14:47 07-08-2010

grizzlynet2 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Код: proxy:~# iptables -vnL Chain INPUT (policy DROP 4 packets, 938 bytes)  pkts bytes target     prot opt in     out     source               destination     0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0     0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0   655  105K ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0   973 81624 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22  5346 5132K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED   Chain FORWARD (policy DROP 0 packets, 0 bytes)  pkts bytes target     prot opt in     out     source               destination     0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            192.168.151.150     tcp dpt:3389     0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            192.168.151.150     tcp dpt:3389     0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            192.168.151.150     tcp dpt:3389     0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            192.168.151.150     tcp dpt:3389     2   266 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0     0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           multiport sports 25,110     0     0 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           multiport dports 25,110     0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           multiport sports 2809,9100,9101,9102,9103,9104,9105,9106,443,9900,9110     0     0 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           multiport dports 2809,9100,9101,9102,9103,9104,9105,9106,443,9900,9110     0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED   Chain OUTPUT (policy ACCEPT 6948 packets, 1320K bytes)  pkts bytes target     prot opt in     out     source               destination     Добавлено: iptables -t nat -vnL   Код:  pkts bytes target     prot opt in     out     source               destination     0     0 REDIRECT   tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128     0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.151.150     tcp dpt:3389 to:192.168.150.1   Chain POSTROUTING (policy ACCEPT 13074 packets, 662K bytes)  pkts bytes target     prot opt in     out     source               destination     0     0 SNAT       all  --  *      *       192.168.150.1        0.0.0.0/0           to:192.168.151.150   407 24599 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0   Chain OUTPUT (policy ACCEPT 26644 packets, 1525K bytes)  pkts bytes target     prot opt in     out     source               destination   Всего записей: 17 | Зарегистр. 02-08-2010 | Отправлено: 14:53 07-08-2010

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору grizzlynet2 эм.. вы пытались подключится по RDP прежде чем дать вывод команд??? Если да, то проблема не в iptables, а в Dlink2640U.   p.s. ушёл. буду через пару часов... удачи! ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 15:00 07-08-2010 | Исправлено: Alukardd, 15:01 07-08-2010

grizzlynet2 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd   да я пробывал подключатся - подключение не удачное.   На модеме в настройка NAT VirtualServer просто добавил правила с любого источника по порту 3389 перенапрявлять запросы на узел 192.168.151.150 (eth0).Вот.   Такое же правило я задал на 22 порт SSH 192.168.151.150 (eth0) - оно работает.     Добавлено: Вот таблица на модеме 2640U   Код: > iptables -L Chain INPUT (policy ACCEPT) target     prot opt source               destination ACCEPT     udp  --  192.168.151.0/24     anywhere            udp dpt:30006 ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:30005 ACCEPT     udp  --  anywhere             anywhere            udp dpts:7070:7079 ACCEPT     udp  --  anywhere             anywhere            udp dpt:5060 ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED ACCEPT     udp  --  anywhere             anywhere            udp dpt:500 ACCEPT     esp  --  anywhere             anywhere ACCEPT    !esp  --  anywhere             anywhere            MARK match 0x10000000/0x10000000 LOG        tcp  --  anywhere             anywhere            tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> ' DROP       all  --  anywhere             anywhere   Chain FORWARD (policy ACCEPT) target     prot opt source               destination ACCEPT     udp  --  192.168.151.0/24     anywhere            udp dpt:30006 ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:30005 ACCEPT     tcp  --  anywhere             192.168.151.150     tcp dpt:3389 ACCEPT     udp  --  anywhere             192.168.151.150     udp dpt:ssh ACCEPT     tcp  --  anywhere             192.168.151.150     tcp dpt:ssh ACCEPT     udp  --  anywhere             192.168.150.1       udp dpt:3389 ACCEPT     tcp  --  anywhere             192.168.150.1       tcp dpt:3389 TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED ACCEPT    !esp  --  anywhere             anywhere            MARK match 0x10000000/0x10000000 LOG        tcp  --  anywhere             anywhere            tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> ' DROP       all  --  anywhere             anywhere   Chain OUTPUT (policy ACCEPT) target     prot opt source               destination     Добавлено: Пробывал правила: Код:   -A FORWARD -i eth0 -o eth1 -p tcp -m tcp --dport 3389 -j ACCEPT -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 3389 -j ACCEPT     Безнадёжно!   Добавлено: Я думаю что заголовок адресата, в исходящем пакете  клиенту от сервера, указыватеся неправельный адрес назначения клиента!!!   Всего записей: 17 | Зарегистр. 02-08-2010 | Отправлено: 15:08 07-08-2010

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ой блин... ты кажется совсем не понимаешь как устроена сеть и ip адресация, NAT и прочее... В общем стоит почитать теорию... на dlink'e надо написать destination 192.168.151.150, а не 192.168.150.1!!! Кода прочтёшь теорию и разберешься - поймешь почему...   p.s. я тут на ТЫ перешёл - так проще ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 16:35 07-08-2010 | Исправлено: Alukardd, 16:35 07-08-2010

grizzlynet2 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd   если посмотреть выше, на DLINK-е прописано и так destination 192.168.151.150       Добавлено: Код:   Chain FORWARD (policy ACCEPT)   target     prot opt source               destination   ACCEPT     udp  --  192.168.151.0/24     anywhere            udp dpt:30006   ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:30005   ACCEPT     tcp  --  anywhere             192.168.151.150     tcp dpt:3389 ACCEPT     udp  --  anywhere             192.168.151.150     udp dpt:ssh   ACCEPT     tcp  --  anywhere             192.168.151.150     tcp dpt:ssh   TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU   TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU   ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED   ACCEPT    !esp  --  anywhere             anywhere            MARK match 0x10000000/0x10000000   LOG        tcp  --  anywhere             anywhere            tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '   DROP       all  --  anywhere             anywhere   Всего записей: 17 | Зарегистр. 02-08-2010 | Отправлено: 16:40 07-08-2010

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору grizzlynet2 а правила PREROUTING тоже заданы???   и если можно вывод правил давай не командой -L, а командой -vnL ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 16:58 07-08-2010 | Исправлено: Alukardd, 16:59 07-08-2010

grizzlynet2 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd   в понедельник отпишусь, на выходные сервер выключили(((( Всего записей: 17 | Зарегистр. 02-08-2010 | Отправлено: 17:08 07-08-2010

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » iptables проброс 3389

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование